您可以建立RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。當您的企業存在多使用者協同訪問資源的情境時,使用RAM可以按需為使用者指派最小許可權,避免多使用者共用阿里雲帳號(主帳號)密碼或存取金鑰,從而降低企業的安全風險。阿里雲基於最佳實務,提供了常見情境的快速配置方式,且預置了對應RAM使用者的權限原則,方便您快速建立RAM使用者並授權。同時,您也可以根據自己的實際業務需求,採用手動設定的方式,手動建立RAM使用者並授權。
快速配置
步驟一:建立RAM使用者並授權
使用阿里雲帳號(主帳號)登入RAM控制台。
在概覽頁面,單擊快速開始頁簽。
從系統提供的情境中選擇您的目標情境。
例如:您可以選擇網路系統管理員,該網路系統管理員負責企業的網路架構搭建和管理,可開通、購買、建立網路相關服務,擁有網路服務的所有許可權和ECS安全性群組的許可權。
查看或修改配置參數。
您可以查看預置的全部參數,但只能修改部分參數,請以控制台介面顯示為準。
單擊執行配置。
查看配置進度,等待配置完成後,儲存RAM使用者名稱和登入密碼。
通過快速配置方式建立的RAM使用者,後續可以在RAM控制台對應功能菜單下修改其配置資訊。
步驟二:RAM使用者登入阿里雲控制台
使用新建立的RAM使用者登入阿里雲控制台。
說明RAM使用者登入頁面與阿里雲帳號(主帳號)登入頁面不同。更多資訊,請參見RAM使用者登入阿里雲控制台。
在RAM使用者登入頁面,輸入RAM使用者名稱,單擊下一步。
輸入RAM使用者的登入密碼,然後單擊登入。
(可選)如果您開啟了多因素認證(MFA),則需要輸入虛擬MFA裝置產生的驗證碼,或通過U2F安全密鑰認證。
手動設定
步驟一:建立RAM使用者
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊建立使用者。
在建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。
登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。
顯示名稱:最多包含128個字元或漢字。
標籤:單擊
,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。
說明單擊添加使用者,可以大量建立多個RAM使用者。
在訪問方式地區,選擇訪問方式,然後設定對應參數。
為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。
控制台訪問
如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:
控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼強度。
密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。
多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊,請參見為RAM使用者綁定MFA裝置。
OpenAPI調用訪問
如果RAM使用者代表應用程式,建議啟用OpenAPI調用訪問,使用存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey。
重要RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。
單擊確定。
根據介面提示,完成安全驗證。
步驟二(可選):建立自訂權限原則
RAM提供了兩種權限原則:系統權限原則和自訂權限原則。系統權限原則由阿里雲統一提供,不支援修改。如果系統權限原則不能滿足您的需求,您可以按需建立自訂權限原則,實現精微調權限管理。
建立自訂權限原則有多種方式,如下將以通過可視化編輯模式建立自訂權限原則為例為您介紹。更多其他方式,請參見建立自訂權限原則。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊可視化編輯頁簽。
配置權限原則,然後單擊繼續編輯基本資料。
在效果地區,選擇允許或拒絕。
在服務地區,選擇雲端服務。
說明支援可視化編輯模式的雲端服務以控制台介面顯示為準。
在操作地區,選擇全部操作或指定操作。
系統會根據您上一步選擇的雲端服務,自動篩選出可以配置的操作。如果您選擇了指定操作,您需要繼續選擇具體的操作。
在資源地區,選擇全部資源或指定資源。
系統會根據您上一步選擇的操作,自動篩選出可以配置的資源類型。如果您選擇了指定資源,您需要繼續單擊添加資源,配置具體的資源ARN。您可以使用匹配全部功能,快速選擇對應配置項的全部資源。
說明為了權限原則的正常生效,對操作關聯的必要資源ARN標識了必要,強烈建議您配置該資源ARN。
在條件地區,單擊添加條件,配置條件。
條件包括阿里雲通用條件和服務級條件,系統會根據您前面配置的雲端服務和操作,自動篩選出可以配置的條件列表。您只需要選擇對應條件鍵配置具體內容。
單擊添加語句,重複上述步驟,配置多條權限原則語句。
輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
基礎權限原則最佳化
系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:
刪除不必要的條件。
刪除不必要的數組。
可選:進階權限原則最佳化
您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:
拆分不相容操作的資源或條件。
收縮資源到更小範圍。
去重或合并語句。
單擊確定。
步驟三:為RAM使用者授權
授權時,建議遵循最小化原則,僅授予必要的許可權。
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
在添加許可權面板,為RAM使用者添加許可權。
選擇授權應用範圍。
整個雲帳號:許可權在當前阿里雲帳號內生效。
指定資源群組:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
指定授權主體。
授權主體即需要添加許可權的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,包括:
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
說明每次最多綁定5條策略,如需綁定更多策略,請分多次操作。
單擊確定。
單擊完成。
步驟四:RAM使用者登入阿里雲控制台
使用新建立的RAM使用者登入阿里雲控制台。
說明RAM使用者登入頁面與阿里雲帳號(主帳號)登入頁面不同。更多資訊,請參見RAM使用者登入阿里雲控制台。
在RAM使用者登入頁面,輸入RAM使用者名稱,單擊下一步。
輸入RAM使用者的登入密碼,然後單擊登入。
(可選)如果您開啟了多因素認證(MFA),則需要輸入虛擬MFA裝置產生的驗證碼,或通過U2F安全密鑰認證。